Acecard

Acecard Descripción

Acecard es una familia de troyanos bancarios móviles que mostró una notable tasa de evolución en un período relativamente corto después de su primer descubrimiento. El rápido desarrollo puede explicarse por el hecho de que los piratas informáticos detrás de Acecard ya habían estado involucrados con dos amenazas de malware móviles anteriores: Backdoor.AndroidOS.Torec.a, el primer troyano TOR para Android y Trojan-Ransom.AndroidOS.Pletor.a, el primer ransomware para dispositivos móviles. La evidencia de que todas las amenazas fueron generadas por el mismo grupo de piratas informáticos se puede encontrar en la superposición significativa del código, así como en los nombres idénticos de clases, métodos y variables. Las tres amenazas apuntan a dispositivos Android.

Durante su actividad, Acecard cambió casi todas sus características. El troyano comenzó como un recopilador de credenciales de varias aplicaciones de redes sociales, pero evolucionó para incluir aplicaciones bancarias de numerosos países. Al mismo tiempo, la geolocalización de los usuarios objetivo divergió drásticamente, siendo los cuatro países más afectados por la amenaza Rusia, Australia, Alemania y Francia. Durante un período determinado, Estados Unidos fue el tercer país más afectado.

Ampliación de un conjunto de comandos amenazantes

En los primeros días de la familia Acecard, la amenaza tenía una ventana de superposición falsa solo para la tienda Google Play y solo podía manejar cuatro comandos recibidos del servidor Command-and-Control (C&C, C2):

  • Iniciar la interceptación de SMS
  • Detener la intercepción de SMS
  • Envía un SMS a un número determinado proporcionado por el servidor de C&C
  • Cambiar el número de control del dispositivo comprometido

Sin embargo, en la siguiente iteración, los delincuentes ya habían ampliado la gama de comandos disponibles a 15, incluida la recopilación de mensajes SMS, la obtención de una lista de las aplicaciones instaladas y la extracción de las coordenadas del dispositivo. Otros cambios importantes fueron el uso de la red TOR para la comunicación con C&C y un aumento significativo de las ventanas de phishing que ahora podrían superponerse a la aplicación WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail y Twitter.

Luego, los piratas informáticos trasladaron su atención a Australia al incluir una superposición de phishing para el banco más popular del país. Al mismo tiempo, la red TOR ya no se utilizaba para la comunicación C&C. En una versión detectada solo dos días después, Acecard ahora era capaz de recopilar credenciales de cuatro bancos australianos. Esta versión también lo es por primera vez en la inclusión de un mecanismo de restricción geográfica introducido en la familia de amenazas. Acecard verificó el código del país y el código del proveedor de servicios del dispositivo infectado y, si coincidían con Rusia, el malware finalizó su ejecución.

Después de un par de meses de menor actividad, los piratas informáticos volvieron a hacerlo con una nueva versión que había sido equipada con una plantilla de inicio de sesión de PayPal falsa. También se agregó un nuevo comando que, cuando se invocaba, restablecía el dispositivo de la víctima a la configuración de fábrica. La siguiente versión de Acecard mostró el interés de los piratas informáticos en ampliar su alcance al incluir ventanas de phishing para cuatro bancos neozelandeses y tres alemanes. En ese momento, Acecard tenía superposiciones falsas para 20 aplicaciones diferentes, 13 de las cuales eran bancos. Sin embargo, eso no fue suficiente para los delincuentes, y aceleraron el desarrollo de la amenaza: en varias versiones posteriores de Acecard, se agregaron superposiciones para más bancos en Australia, así como nuevos objetivos de Honk Kong, Austria, los tres los bancos más grandes de Estados Unidos, tres bancos de Singapur y, finalmente, un banco español. También se introdujeron nuevas funcionalidades, como la capacidad de la amenaza para transferir correos electrónicos entrantes de bancos específicos directamente a los delincuentes. Más tarde, esa capacidad se refinó y, en lugar de todo el SMS, Acecard ahora solo reenvía los códigos de verificación o registro.

Acecard se presenta como aplicaciones populares para la propagación

Para engañar a los usuarios para que instalen Acecard, los piratas informáticos utilizaron casi todos los métodos conocidos. Distribuyeron el malware bajo la apariencia de un Flash Player o un video porno, pretendieron ser otras aplicaciones útiles o populares e incluso emplearon un troyano cuentagotas. Este cuentagotas se hizo pasar por una aplicación de juego, pero casi no se hizo ningún esfuerzo para crear un disfraz más creíble. De hecho, inmediatamente después de la instalación, simplemente crearía un icono de Adobe Flash en el dispositivo infectado. El troyano cuentagotas aún logró eludir las medidas de seguridad de la tienda oficial de Google Play y estaba disponible para su descarga antes de ser eliminado.

Otra versión del troyano dropper estaba equipada con capacidades de explotación de vulnerabilidades. Como resultado, podría escalar sus privilegios al nivel de superusuario y, posteriormente, entregar la carga útil del malware Acecard directamente en la carpeta del sistema y evitar que el usuario afectado la elimine.